| Hongyang's profileWhyPhotosBlogLists |  Tools  Help |
|
Why周围有飞机、火车、树林、高尔夫球场、拆迁户、艺术家、噪音,还有突然的静寂。红瓦绿树,碧水蓝天。 7/1/2009 FIRST 21届年会议题 FIRST 21届年会在日本京都召开。演讲者与题目参见http://conference.first.org/program/listspeakers.aspx 演讲题目基本都与Incident Response相结合。 关键词:大网安全与异常、网页挂马检测、打击僵尸网络、蜜网、立法、Cyber安全、网络犯罪、DNS劫持、DNS滥用、日志审计、应急响应团队IRT、安全设计与安全系统、SCADA、入侵分析、预警系统、DoS、信息泄漏、漏洞挖掘、Mashup&Social Media 预警:预警系统、蜜网 防护:安全设计与安全系统、漏洞挖掘 检测:大网安全与异常、网页挂马检测、DNS劫持、DNS滥用、日志审计、入侵分析、信息泄漏、DoS 响应:打击僵尸网络、应急响应团队IRT Cyber安全、网络犯罪、立法、SCADA、Mashup&Social Media [CNCERT/CC] A CASE STUDY OF WIDE-SCALE NETWORK ANOMALIES RESPONSE Chinese Hacker Community and Culture, Underground Malware Industry Network Security Assistance to the Beijing Olympic Games [TWCERT/CC] Malicious Webpage Detection [JPCERT/CC] Anti-bot Countermeasures in Japan [CERT-EE & CERT-GE] Analysis of the DDoS Attacks on Georgia & Estonia [GOVERT.NL] NM SIG: Monitoring & Analyzing Client-side Attacks [CyberSecurity Malaysia] Handling Incidents from Honeynet Data [National Police Agency of Japan] The incident response and the law enforcement [National Information Security Center, Cabinet Office Japan] Information Security Management and Economic Crisis [West Japan Railway Company (JR West)] The Great Hanshin-Awaji Earthquake [Federal Office for Information Security (BSI, Germany)] Internet Analysis System (IAS) - Module of the German IT Early Warning System [INTERPOL] INTERPOL Initiatives to Enhance Cyber Security [Team Cymru] Show Me The Evil - A Graphical Look at Online Crime [Anti-Phishing Working Group] The State of Phishing/Fraud and Efforts To Deliver Forensic Tools & Resources for ECrime Fighters [ICANN] Establishing Collaborative Response to Abuse of the Domain Name System [BT] Reconceptualizing Security Security and the Future Generation Deriving information from raw data: making business decisions with logs [NTT] CSIRT Modeling Architecture [Deutsche Telekom AG] Windows Memory Forensics with Volatility [KPN-CERT] When worlds collide: Understanding telco fraud in a VoIP world [SAIC] Mashup Security & Incident Response Considerations Architecting Systems of Systems for Response Content: The Next Generation of Incident Response [Microsoft] Comprehensive Response: A Bird's Eye View of Microsoft Critical Security Update MS08-067 [IBM] SCADA Security - Who Is Really In Control of Our Control Systems? Creating an End-to-End Identity Management Architecture Extrapolated Thinking for Sarbanes-Oxley: Factoring Incident Response [Siemens AG] 0x221b - Finding Traces of System Compromise [McAfee] In the cloud Security Threat response - doing the right thing first time! [Cisco] Missing Clues: How to Prevent Critical Gaps in Your Security Monitoring Emerging Threats and Attack Trends [Arbor Networks] Attacks Against the Cloud: Combating Denial-of-Service Update on Carrier Infrastructure Security Attacks [Atos Origin] Olympics Information Security: Real Time Risk Management [La Caixa] Anti-Phishing Working Group and the Internet Policy Committee "The Threat of Banking Trojans: Detection, Forensics, and Response." (Insights from a Bank CSIRT) [VeriSign] On-Line Fraud Prevention and Detection -- Multiple Layers of Security [iDefense-VeriSign] Explaining the Regional and National Character of Cyber Security Environments Attacker Illusions: Finding the Real "Who" and "Why" Proactively blacklisting Fast-Flux domains and IP addresses [Open Systems AG] Closing the Gap between Policy Creation and Enforcement [Davidoff & Lake Missoula Group] Proprietary Data Leaks: Response and Recovery [PRESECURE Consulting GmbH] Information Security Exchange Formats and Standards [DFN-CERT Services GmbH] Contradictions in current european security policy [The Network Security Blog] Using Social Media in Incident Response [PanMedia] Recapturing the Wheel – Media Perspectives on Crisis and Recovery [ESR/RNP] New Developments on Brazilian Phishing Malware [Amirkabir University of Technology] How to handle Domain Hijacking Incidents Effective Software Vulnerability Discovery within a Time Constraint [National University of Singapore] To be or not to be -- An Incident Recovery case study [Spinlock Technologies] Information security one character at a time [National Institute of Standards and Technology] Measuring the Root Cause of Incidents [SecureLogix] Incident Response for Voice Services [Information Technology-promotion Agency (IPA)] Proposal of MyJVN for Security Information Exchange infrastructure [KRvW Associates, LLC] The essential role of the CSIRT in secure software development 6/30/2009 2009-6 应用安全漏洞 [选录] 新! 及时知道最新的app security alert,请在twitter上follow @2sec 应用安全漏洞 [选录] ------------------- 2009-6 这个月有几个漏洞需要注意:HTTP Server DoS、phpmyadmin、Green Dam、Apple,Joomla很多的组件都有安全漏洞,所以还针对出现了Joomla Vuln Scanner。 Joomla com_bookflip (book_id) Remote SQL Injection Vulnerability 29-06-2009 Cpanel (lastvisit.html domain) Arbitrary File Disclosure Vuln (auth) 29-06-2009 Joomla Component com_php (id) Blind SQL Injection Vulnerability 29-06-2009 Joomla Component com_K2 <= 1.0.1b (category) SQL Injection Vuln 29-06-2009 WordPress Plugin DM Albums 1.9.2 Remote File Inclusion Vuln 29-06-2009 DM FileManager 3.9.4 Remote File Inclusion Vulnerability 29-06-2009 Joomla Component com_pinboard (task) SQL Injection Exploit 25-06-2009 Joomla Component com_pinboard Remote File Upload Vulnerability 24-06-2009 Joomla Component com_amocourse (catid) SQL Injection Vuln 24-06-2009 Zen Cart 1.3.8 Remote Code Execution Exploit 23-06-2009 Zen Cart 1.3.8 Remote SQL Execution Exploit 23-06-2009 Joomla Component com_tickets <= 2.1 (id) SQL Injection Vuln 22-06-2009 Elgg (XSS-CSRF-Change Password) Multiple Remote Vulnerabilities 22-06-2009 Multiple HTTP Server Low Bandwidth Denial of Service #2 22-06-2009 pmaPWN! - phpMyAdmin Code Injection RCE Scanner & Exploit 22-06-2009 Green Dam 3.17 URL Processing Buffer Overflow Exploit (meta) 16-06-2009 McAfee 3.6.0.608 naPolicyManager.dll ActiveX Arbitrary Data Write Vuln 16-06-2009 XOOPS <= 2.3.3 Remote File Disclosure Vulnerability (.htaccess) 16-06-2009 Apple QuickTime CRGN Atom Buffer Overflow PoC 15-06-2009 WordPress Plugin Photoracer 1.0 (id) SQL Injection Vulnerability 15-06-2009 Netgear DG632 Router Authentication Bypass Vulnerability 15-06-2009 Netgear DG632 Router Remote Denial of Service Vulnerability 15-06-2009 vBulletin Radio and TV Player Add-On HTML Injection Vulnerability 15-06-2009 Joomla Component com_jumi (fileid) Blind SQL Injection Exploit 15-06-2009 Apple QuickTime CRGN Atom Remote Overflow PoC 15-06-2009 Joomla Component com_ijoomla_rss Blind SQL Injection Exploit 15-06-2009 Apple Safari & Quicktime Denial of Service Vulnerability 15-06-2009 Joomla Component com_Projectfork 2.0.10 Local File Inclusion Vuln 15-06-2009 Apple QuickTime CRGN Atom Local Crash Exploit 15-06-2009 Green Dam 3.17 (URL) Remote Buffer Overflow Exploit (xp-sp2) 12-06-2009 Apple iTunes 8.1.1.10 (itms-itcp) Remote Buffer Overflow Exploit (win) 12-06-2009 WordPress Plugin FireStats <= 1.6.1(fs_javascript) RFI Vulnerability 12-06-2009 ModSecurity <= 2.5.9 (Core Rules <= 2.5-1.6.1) Filter Bypass Vuln 11-06-2009 Joomla Component com_realestatemanager 1.0 RFI Vulnerability 09-06-2009 Joomla Component com_vehiclemanager 1.0 RFI Vulnerability 09-06-2009 phpMyAdmin (-scripts-setup.php) PHP Code Injection Exploit 09-06-2009 Joomla Component Akobook 2.3 (gbid) SQL Injection Vulnerability 09-06-2009 Joomla Component com_media_library 1.5.3 RFI Vulnerability 09-06-2009 Joomla Component BookLibrary 1.5.2.4 Remote File Inclusion Vuln 09-06-2009 Joomla Component BookLibrary 1.5.2.4 Remote File Inclusion Vulnerability 09-06-2009 Apple Safari <= 3.2.x (XXE attack) Local File Theft Vulnerability 09-06-2009 Joomla Component com_portafolio (cid) SQL injection Vulnerability 08-06-2009 SAP GUI 6.4 ActiveX (Accept) Remote Buffer Overflow PoC 08-06-2009 Joomla Component MooFAQ (com_moofaq) LFI Vulnerability 08-06-2009 httpdx <= 0.8 FTP Server Delete-Get-Create Directories-Files Exploit 08-06-2009 Apple MACOS X xnu <= 1228.9.59 Local Kernel Root Exploit 08-06-2009 Joomla Component com_school 1.4 (classid) SQL Injection Vulnerability 08-06-2009 OpenSSL < 0.9.8i DTLS ChangeCipherSpec Remote DoS Exploit 04-06-2009 Joomla Component Seminar 1.28 (id) Blind SQL Injection Exploit 03-06-2009 Apple QuickTime Image Description Atom Sign Extension PoC 03-06-2009 Apple iTunes 8.1.1 (ITMS) Multiple Protocol Handler BOF Exploit (meta) 03-06-2009 Joomla Omilen Photo Gallery 0.5b Local File Inclusion Vulnerability 03-06-2009 Joomla Component com_mosres Multiple SQL Injection Vulnerabilities 03-06-2009 Joomla Component Joomlaequipment 2.0.4 (com_juser) SQL Injection 01-06-2009 Apache mod_dav - svn Remote Denial of Service Exploit 01-06-2009 Linksys WAG54G2 Web Management Console Arbitrary Command Exec 01-06-2009 Source: bugsearch.net 6/26/2009 微软的9个试错产品(2)
微软的9个试错产品(1)微软的9个试错产品文|CBN 创新总是伴随着失败。看看微软的9个经典失意产品为我们提供了什么样的教训。
6/23/2009 Gartner: Worldwide security software revenue up 18.6% in 2008 Source: http://www.net-security.org/secworld.php?id=7660 Worldwide security software market revenue totalled $13.5 billion in 2008, an increase of 18.6 per cent from 2007 revenue of $11.3 billion, according to Gartner. Analysts said there was an increasing demand for appliance-based products, particularly within certain segments such as, e-mail security and secure web gateway markets. Gartner报告称,全球安全软件市场在2008年达到135亿美元,相比2007年113亿美元增长18.6%。增长主要来自e-mail安全产品和Web安全网关。 “In 2008, the security market did not show any noticeable impact from the economic downturn,” said Ruggero Contu, principal research analyst at Gartner. 2008年,经济危机并未对安全市场造成严重影响。 Globally, data security and privacy, along with the need to protect IT infrastructure from the ever increasing sophisticated and targeted attacks, are among the key drivers fuelling the growth of IT security software spending. Symantec continued to be the market leader, as it accounted for 22 per cent of worldwide security software in 2008. However, the company’s market share was down from 2007 when it accounted for 24.4 per cent of the market. McAfee experienced the strongest growth rate among the top five vendors, as its revenue increased 20.5 per cent in 2008. Symantec占22%,相比2007年24.4%下降了。McAfee占20.5%。 The segments in the appliance-based products that recorded the fastest growth in 2008 were, security information and event management (SIEM), e-mail security boundary, and secure web gateway appliance with 50 per cent, 37.7 per cent and 29.9 per cent increases respectively. Web access management (WAM) and endpoint protection platform (EPP) were the slowest performing segments. WAM和EPP增长缓慢。 Eastern Europe was the fastest region with 35 per cent growth in 2008. It was followed by Middle East and Africa, Latin America and Asia/Pacific regions which saw growth increasing of around 30 per cent. 东欧(增长最快35%),中东、非洲、拉美、亚洲(30%) new product delivery methods, such as software as a service (SaaS) and host based offerings, and expected increasing interest from the small and midsize business (SMB) sector will sustain growth in the market in 2009. SaaS和为中小企业提供的产品在2009年将会增长。 In 2009, Gartner predicts that the security software market will show signs of slowdown but will continue to grow at around 9 per cent. 2009年,Gartner预计安全软件市场放缓,但仍能保持9%的增长。 6/19/2009 Golden Ca$h Network Finjan 发布了2009年第二期 Cybercrime Intelligence Report 一个是肉鸡价格: 澳大利亚肉鸡,每1000台100美金,卖出价500美金。远东地区的,包括中国、日本、韩国等,每1000台5美金。美国的基本上1000台50美金。 一个是 Golden Ca$h 网络平台的运作模式:  类似古罗马奴隶交易市场。 全文阅读: Finjan Cybercrime Intelligence Report View more PDF documents from wanghongyang. 6/17/2009 转载 张瑞敏6月12日在沃顿全球校友论坛上的主题演讲 -- 中国式管理的三个终极难题 Source: http://www.cnemag.com/fenxplun/newsfx/2009-06-12/177639.shtml 摘录一些。 讲三点:第一个是怎么样做适应中国国情的管理;第二,在信息化时代怎样做管理上的创新;第三,海尔自己在商业模式创新上的探索。 韦尔奇如何能够把GE做到世界最大,但是又做到了世界最小。意思是说他把公司做到了世界第一,但是公司里每一个人又能够充分地发挥、体现自己的价值,其实这是非常不简单的。 他说你前两天告诉我那样干,今天又告诉我这样干,到底哪个是对的。所以不能随便改。(杰克.韦尔奇谈美国工人) 现在很多企业不考虑什么管理不管理的问题了,就是考虑能“过冬”就行了。作为海尔我们的想法不应该是“过冬”,应该是“冬泳” 互联网时代对企业提出来的挑战就两个字——速度。谁能够以更快的速度满足用户的需求。 我们现在具体探索的就是虚实网结合,所谓“虚网”就是互联网,所谓“实网”就是最后一公里,也就是鼠标加及时服务。 所谓的商业模式不管怎么说就是一条,能不能创造客户价值。如果说你能够创造客户价值,能够体现客户价值,这个商业模式就是对的了。 所谓大企业病就是内部员工和部门相互间的博弈。就像1994年获得诺贝尔奖的纳什所说的,每个人都从自己利益最大化出发,最后形成一个博弈。 按照职能管理原则,组织结构应该是金字塔型的,是一个中三角,企业最高领导在最上面,然后是次要领导,然后是一级级领导下来,到最下边一定是员工。但是员工 面对的就是客户。客户所反映的问题员工要逐级反映上去,领导再做决策下来,这里面除了内部的消耗外还有一个很大的问题是不能够非常好地直面市场、快速做出决策。现在就把这个三角形倒过来,变成倒三角。客户在最上面,然后是一线经理、员工直面客户,最后一级级下来,最高领导成了最下面的了。这样企业的最高领导从原来的发号施令变成在最下端为一线经理提供资源。所有的部门在这当中都为了一线经理和客户提供资源,从发号施令者变成提供资源者。 集团内部的各个部门因为都要面对客户,所以要打破各部门间的壁垒,我们叫做自主经营体,大家共同来达到客户的价值。 一个企业可能很大,但是再大、再小的企业就是三张表,损益表、资产负债表和现金流量表,现在我把损益表做到一个团队,在倒三角型最尖端的领导个人损益表是要 关注这个企业在市场上的战略方向和战略目标,当然企业新的机会就是他损益表的任务。为了防止一线经理和客户承诺后还担心背后的资源没有共享,所有背后的这些人,比方说人力、财务等等都有各自的损益表,这个损益表和这个团队对客户的承诺内部要形成一个契约。 中国的员工很聪明,不管你下达什么政策都有办法对付你,很快就修正了。但是有一条,只要花公家的钱办公家的事,肯定是——第一效率低,第二浪费钱。如果花自己的钱办自己的事,第一效率高,第二省钱。 英国哲学家培根说了一句话,追逐私利的人往往会烧掉大家的房子来煮自己的鸡蛋。 对于领导人的挑战,你不能做报时人,应该做造钟师。都靠你来做决策,你再英明也会有失误的时候,做造钟师,能够把每个人都打造成为了体现自身价值而不断创造新价值的主体。这样企业就不是靠你一个人来运转,而是像一部精密的时钟一样准确地运转,会克服所有的问题。 转载 RSA公司总裁亚瑟.W.科维洛的直播在线访谈 Source: http://liukeli.blog.sohu.com/118591855.html 1. 谁也不可能走在黑客前面 2. 美国只有七百分之一的黑客能被抓住 3. 我总对竞争对手心存恐惧 4. RSA安全会议一定会在中国召开,但时间未定 5. 把RSA名字给了世界性信息安全大会,我们的品牌不会分散 6. 微软产品已成为黑客的终极目标 7. 用户的需求是把所有安全产品嵌入系统 8. 每个安全产品厂商提供产品是单点式的,很容易被黑客钻空子,所以需要和竞争对手合作分工 9. 不同规模的公司不同时期科研和市场,投入是不同 10. 我们与美国政府的合作只有在资讯(信息)方面 11. 我们已进入无线网络安全市场 12. 我们金牌机制产品可以下载到手机中 13. RSA不排斥收购中国民营安全公司 14. 我们关闭了15万个钓鱼网站,保护过2.2亿网络身份 6/14/2009 转载 大前研一:中国要改变“世界小姐”心态 Source: http://www.dapenti.com/blog/more.asp?name=xilei&id=20340 大前研一被英国《金融时报》称为“日本唯一成功的管理学大师”,以下是他对中国发展的一些看法。 中国人有点急躁 我在中国书店里看到一本书,叫《西方百部管理经典》,这么多内容,竟然可以浓缩至二百多页的篇幅。只想阅读管理书籍的摘要,就想在5年之内就掌握日本花了50年所学的东西,这正是中国打算做的。
管理是个连续反馈的过程,从自己和他人的错误中吸取教训,不断试验,不断积累能力。如果你只是学习皮毛,然后匆匆忙忙采取行动.或者是让其他人来对组织进
行改造,这简直就像人造孩子。中国的投资趋势是这样的:如果你赚了钱,政府会给你批地,让你发展壮大。5年后,你就成了开发商,地皮升值后,再高价卖出去获利。中国的机会太多,以至于中国的经理人很难专注于某个领域,并在该领域做出卓越的成绩。 但专注是赚钱的唯一途径。可口可乐公司专心做可口可乐,成为世界消费品领域的领先者。丰田专注于做汽车,成为日本利润最为丰厚的公司。进入一个行业,专业化,然后全球化,这才是赚钱的唯一途径。如果你并不擅长做某事,但政府特许你做,那么你可能仍然做不好。 如果形势有所改变,比如让更多优秀的跨国公司进来,这些中国公司会垮掉。就像韩国那样,开放后,50%的韩国大厂都垮掉了。所以我给中国企业家的建议是,专注于某个小的领域.争取在这个领域做到最强,这需要时间。 但这跟中国的文化不符。中国的文化是宁当鸡头,不做凤尾。中国公司不会教给你太多东西,因为它们认为你待不长,可能随时走人。日本公司则认为你会终生服务于同一家公司,所以会教给你更多的东西。中国的家族企业,权力倾向于集中在家族内部。所以,中国企业很难在世界范围内取得成功。国内市场很大,中国企业能在国内取得成功。生产电视机可以成功,生产什么都能成功。但我认为这种模式不会长久。 降低成本有局限 中国的企业必须找到未来获利的来源.增强实力,而不仅仅是使成本更低。降低成本的同时。要努力做得更好。为了做得更好,你必须有自己的技术秘诀,否则,别人很容易仿造,竞争的结果.就是被迫不断降价。
品牌非常重要,品牌是你能比竞争对手卖价更高的唯一手段。否则,中国制造的产品,只能采用贴牌的形式,比如,在沃尔玛超市、希尔斯百货销售的中国彩电。贴牌的方式是无法取得成功的。随着生活水平的提高,工资水平也会水涨船高。如果不涨工资,工会就会组织反抗,韩国就出现了这种情况。货币升值,作为成本的工资上涨,你不可能永远依靠廉价劳动力取胜。现在,劳动力供给还很充裕,但总有一天,劳动力的需求会上去。当劳动力需求增加的时候,劳动者就成了消费者。劳动者成为消费者,这里的市场才会更有吸引力。 管理者必须要考虑,如果仅是靠劳动力优势维持生产成本的低廉,这样做会有两个问题:第一,国内市场的购买能力得不到增强;第二,这些企业会遭到拥有品牌和渠道的企业压榨。这些好产品在中国生产,但中国并没赚到钱,因为人人都能做。沃尔玛、希尔斯以及其他的品牌企业,充分利用中国低廉的生产成本,利润流向这些品牌企业.而不是中国企业。
相信我,成为世界品牌需要20年的时间,日本公司,像索尼、东芝、雅马哈都是如此。30年的路不可能5年走完,建立品牌是个10年到20年的漫长过程。成本昂贵,企业要不断提高定高价的能力。建立品牌的过程极具挑战性,我还没见到哪个中国企业家为此做好了准备。每个人都很着急,他们会说,大前研一先生,让我们明天就开干吧,政府批给我们30平方公里的土地。 关注点应该在产品上,他们关注的却是机会.他们担心的是,如果你不做,别人就会做。 改变“世界小姐”心态
如今的中国,像一个世界小姐.谁都围着她转,投资机会以及各种建议纷至沓来.每个国家都想跟中国结亲。可冷静想想,5年之后,世界小姐也许就不再漂亮了。
所以,当她漂亮的时候,应该努力做点事情,比如说拿个MBA学位。中国的现状很好,遇到的挑战也不多,但很难说,5年之后不会碰到麻烦,10年之后,中国也许会陷入困境。
如果你问我该如何让世界小姐安下心来学习.我觉得这的确是个挑战。这也是我为什么说很少遇到哪个中国管理者正在花时间做正确的事的原因。中国太向美国看齐了,美国是很难学的,因为它的很多东西已经成型。中国可以向韩国学习,因为他们也在经历发展,最近也犯了错误。中国也可以向日本学习,日本是汇率升值后仍能幸存的少数国家之一。
日本80%的蔬菜来自山东,不幸的是,几年前,日本媒体连篇累牍地报道卷心菜和菠菜中的农药残留问题,这对山东农民起到很好的警示作用。经过这场波折,如今的山东菜更让人放心。他们为此付出了昂贵的学费,但是.今天的山东已经成为日本的厨房。他们努力迎合日本主妇的口味,针对日本市场做出种种调整,顺利渡过了危机。这就是市场主导的作用。
这种事情每天在每个公司都会发生,在全球各个市场都是如此。意大利需要石屋,北欧人住木屋,在美国则需要建造大房子。美国的知识分子希望把一些东西挡在门后,蓝领阶层则希望把音响、电视放在地板上,露在外面。日本公司可以为超过100个的细分市场,提供不同功能的电视机,这个过程花了最少20年。中国的产品虽然成本很低,但进不了高端市场。之所以说山东菜农的例子,也是这个意思。他们不是抱怨,而是学习,坐下来谈问题。他们已经懂得要用什么化肥、什么杀虫剂,知道该如何种蔬菜。 司机要关注路况 你为什么会遇到交通意外?原因有三种:路况、弯道以及驾驶技巧。通过学习实践,你可以提高驾驶技巧。如果司机只有两年驾驶经验,却想开法拉利赛车,想跑山路,想达到250公里的时速,那当然很难想象。
同时,我想提醒的是,要不断关注路况,这一点在中国常常被忽视。人人只关心速度,谁都想跑得更快。他们担心的是:一旦我停下来,跑在这路上的就成别人了。
如果有人追求财富,其他人也会如此。每个人都从银行贷款,金融泡沫就这样产生了。很少有人真正注意路况,似乎他们是坐在别人的车上。这种心理状态很不好。
如果车开着不舒服,可以换辆车,尼桑、沃尔沃都可以。因为路况的原因,法拉利跑车不适合你。你需要不断提高驾驶技巧,技巧的提高需要老师的指导。面对威胁,你要表现得很谦逊。我要说的是,这个过程很重要。没有通用的理论,没有快速的框架可以利用。我所建议的框架就是向新加坡、韩国、日本、美国、北欧、爱尔兰学习,也要吸取印度的教训。 中国的一些地区应该放慢发展速度,好好规划一下未来.然后再度起飞。我要提醒的是,如果你是司机,要注意路况,路并不都好跑。如果你是世界小姐,你也会一天天变老,也要为自己30岁的时候做些打算。 转载 马化腾:把利润转向更长远的投资Source: http://tech.163.com/09/0613/10/5BMC0GHP000915BF.html 摘录一些。 从一款单一的即时通讯软件企业,到2001年的无线增值业务,再有游戏、门户、电子商务、第三方支付、搜索引擎,到今天几乎布局最全的中国互联网公司,马化腾用了10年。 马化腾称,在下一个十年,腾讯各板块业务,要由“跑得较好”变成“跑得最好”。 现在看起来是有点可悲的是,中国的互联网现阶段稍微清楚的盈利模式都是跟娱乐挂钩。... 不可能一直永久的涨下去,最终还是要有广告收入、电子商务的收入。 每次新业务推出主要还是看市场和自己的能力的匹配。 应该说这两三年内,绝对还是互动娱乐这一块的发展期。即使有天花板,但是到天花板之前,它一年新增量可能比你现在其他行业的某个整个行业还大,是绝对不能忽视的,是我们的一个重点。 要在不断出现的新市场机会和商业模式挑战之下,有选择的将长期、中期和短期业务关联、组合、布局。 全平台布局之下,腾讯的下一个盈利空间,将很大来自管理的精耕细作,通过有效激励,将整个业务组合中盈利较弱的短板拉上,同时让团队吐故纳新合理循环。 因为很多太新的东西,我们内部都没有做好准备。其实更多是要靠沟通。因为腾讯的决策,基本上都是集体决策,不是靠一个人。 更多的建议是从下面提建议上来的,然后我们收到这样的信息之后,大家会互相沟通一下,是不是可行?然后再一点一点地不断去沟通,大概估量一下这个成本怎么样?人才的结构怎么样?有没有合适的人?大概管理层的精力够不够?这些都会去做充分考虑的。 我们不会突然去搞另外一个毫不相干的业务。 成熟的业务我们根据收入,还有平台的指标去考量。孵化级的项目从产品体验是否到位、是不是有很好的用户口碑,不是讲收入,而是看健康的访问量的成长性来判断。 我们的“老人”分两类,一类是真正没有动力了,一般的激励,激励不了他了。没办法,他想自己出去创业。有一些仍然保持很强的动力,他还能成长,就是说不需要你激励,他就为了兴趣,为了成长。 我们研究院有很大一部分是从事基础性的研究。我们过去很多(基础技术研发)都是业务部门自己做,做完之后发现不好,浪费精力,难以长期维持。另外是一些应用的研发,不是专门研究一些用不着的,老是埋在底层的(技术)。 6/13/2009 转载 丁磊秘诀:一命二运三风水四积德五读书 Source: http://tech.sina.com.cn/i/2009-06-11/17593171434.shtml 摘录一些。说实话,这篇采访稿写的不是很好。 前网易高管、现快钱公司总裁关国光说:“在互联网行业里,只懂产品不懂技术的人,是没有太大前途的。只懂技术不懂产品的人,也不过是一个外包工程师。丁磊做到了技术和市场的融合。” 内外交困之下,刚过而立之年的丁磊难免抓狂。下属经常在上班时看到他喝酒后的样子。 在黎明前的黑夜,丁磊开始认真去了解市场,他去书店狂买关于marketing的书,跑去网吧和二三级城市调研,很想搞明白中国市场需要什么产品。 当网易推出《大话西游2》时,产品经理询问如何定价,到底是3毛钱一小时,还是4毛钱一小时。段永平告诉丁磊:“当然是4毛钱,既然都来玩了,还在乎这一 毛钱么?”经常去网吧调查的丁也觉得,既然上网都要2块钱一小时,那多一毛钱也不算什么吧?而对于网易公司来说,一毛钱的差别,整体盈利就能多3成多。 没有几家高瞻远瞩的公司一开始就拥有伟大的构想,但是一定要有核心价值观和超越赚钱的使命感。 制定营销战略的时候,都先看我们的竞争对手在干什么,他们做完了,我们把他们的问题全都找出来,这样我们就不再犯了,少走很多弯路。 不以物喜,不以己悲,有成绩的时候不要太高兴,有挫折的时候也不要太难过。这句话是我29岁,网易在美国上市的时候,有人问我,我讲过的一句话,直到现在也没有改变过这样的想法。 我不会因为市场上出现了什么我就去做什么,我还是本着满足消费者需要去做的。 企业真正存在的价值就是为股东、员工、消费者、合作伙伴创造价值。 6/12/2009 Ponemon Institute 内部人员数据安全策略合规趋势:员工逃避和忽略安全策略 隐私和信息管理研究机构Ponemon Institute发布报告《内部人员数据安全策略合规趋势:员工逃避和忽略安全策略》(Trends in Insider Compliance with Data Security Policies: Employees Evade and Ignore Security Policies),此次调查(采样17021人,回复967,回复率5.7%)由IronKey资助。 一些结论:
随着移动设备的使用越来越多,这种不合规情况更要引起重视。 Compliance With Data Security Policies View more PDF documents from wanghongyang. 6/11/2009 转载 巴茨没疯 Source: http://tech.163.com/09/0611/02/5BGBL3US000915BF.html “Bing是他妈的什么鬼名字?这是我听过的搜索领域最差劲的名字,可他们只是发了个新闻稿,人们就四处流口水了;Google wave也是这样,只是在Youtube上放了一个视频,大伙们就蠢蠢欲动。其实同一时期,我们发布过很多很好的产品,但我们得到了什么报道?我们他妈的不能再这样下去了。从今天开始,我们要反击,不能再让任何人忽视雅虎的存在。” 看看巴茨的调整逻辑:
6/9/2009 Gartner称全球IT服务营收在2008年增长8.2% Source: http://www.gartner.com/it/page.jsp?id=1011512 Gartner称全球IT服务营收2008年为$806 billion,比2007年($745 billion)增长8.2%。 Worldwide IT Services Vendors by Revenue (Millions of U.S. Dollars)
Source: Gartner (June 2009) IBM市场领导者地位,占总市场7.3%。 HP收购EDS后跻身第二,但由于整合上的难度,2008年仅增长1.9%,低于平均水平。 5/31/2009 FISMA 与 Cyberspace Policy Review FISMA(Federal Information Security Management Act联邦信息安全管理法案)定义了保护政府信息系统的方法,要求所有的政府机构评估安全风险,实施 NIST 制定的安全基线控制措施,并进行测评,由 House Oversight and Government Reform Committee 出具scorecard,等级从A到F。 这看起来不错,但实际上效果并不好。 FISMA 在 risk assessment/control selection/audit processes 方面做的不错,但更侧重 compliance,对 effectiveness 评价不够。 * 鼓励完成审计,而不是使系统更安全 * 问题错了,“被认可了吗?” 而不是“安全吗?” * accredited systems(被认可的系统),这个名词让人一头雾水。 * 关注inputs (controls) ,而不是outputs (KPIs, attacks) * 在审计员和流程方面花费了大量财力 * 在攻击、入侵数据分享方面做的不多 * 与其他负责安全的部门合作不够 Cyberspace Policy Review 建议了10个措施。强调的几点: * 承认各部门协作的阻碍太多了 * 更关注入侵和应急响应,而不仅仅是Checklist * 在新的安全技术方面将有更多投资 * 保证公民自由 可以看出,FISMA 关注 process,Cyberspace Policy Review 关注 outcomes。 对于 Private Sector 来说,应该多进行安全数据分享与信息沟通,提高应急响应和渗透测试的能力。 国内的情况有可能会有所变化。 注:部分内容参考了FORRESTER |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Send a private message
Tell a friend
Add to My MSN
Add to your network
Sign up for alerts|
|
